Evropská směrnice NIS2 dopadne na podniky už v roce 2025. České firmy musejí přidat

Nová evropská bezpečnostní směrnice NIS2 zasáhne značný počet odvětví a zahrnuje mimo jiné velké i střední podniky v kritických sektorech jako energetika, doprava, zdravotnictví, finance a digitální infrastruktura.

Firmy musejí pro ochranu před kyberútoky udělat více

České firmy budou muset začátkem příštího roku implementovat robustnější kybernetická bezpečnostní opatření, včetně pravidelného hodnocení rizik, zavedení preventivních a detekčních mechanismů a plánů pro reakci na kyberútoky.

Klíčové je například podrobné sledování bezpečnosti partnerů a dodavatelů. Přestože směrnice prakticky neobsahuje nové koncepty či opatření, které by již většina velkých společností přirozeně neaplikovala, svírá české podnikatele nejistota.

Mnoho velkých tuzemských společností již většinu požadavků směrnice NIS2 splňuje. Konkrétně se jedná asi o 70 procent ze 6 000 dotčených firem, na které nová regulace od příštího roku dopadne. Ty mají výhodu díky dřívějším investicím do kybernetické bezpečnosti a dodržování stávajících standardů.

Aliance NIS2READY: Pravidla kyberbezpečnosti zpřísní, firmy ani úřady nejsou připravené

Naopak malé a střední podniky čelí novým výzvám, protože musejí začít sbírat data a zavádět bezpečnostní opatření, která pro ně doposud nebyla povinná. Pro tyto firmy představuje směrnice NIS2 novou a finančně náročnou povinnost, i když budou fungovat v nižším režimu. Začít by měli ihned.

Investice do kybernetické bezpečnosti v nižším režimu

V následující tabulce uvádíme hrubý odhad toho, jak by mohly vypadat investice do bezpečnostních opatření v nižším režimu ve společnosti se 100 lidmi (respektive 100 uživateli).

Podle poradců jde pouze o příklady a reálné náklady se mohou lišit s ohledem na použité technologie. Zároveň se nejedná o kompletní výčet požadavků zákona. Pokud jde o vyšší režim, náklady, které budou muset společnosti vynaložit, jsou výrazně vyšší.

Od účinnosti zákona jen roční lhůta na plnění povinností

Přijetí české verze zákona implementujícího směrnici NIS2, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), provázely od začátku těžké komplikace. Ať už jde o odmítnutí podoby zákona v roce 2022 premiérem Fialou, přerušení vládního jednání o implementaci směrnice či nejasnost právních definicí. Pro české firmy a podniky tak celý legislativní proces nebudil důvěru.

„Velké české firmy vědí moc dobře, že na ně NIS2 začátkem roku dopadne. Ve skutečnosti dokonce již většinu svých povinností přirozeně plní, ostatně nový kybernetický zákon je postaven na mezinárodně uznávaných a již platných standardech. Implementace nových nástrojů je ale náročná na čas i finance, a tak se v tomto ohledu mezi velkými a malými firmami pomalu rozevírají nůžky,“ vysvětluje Head of Management Consulting v poradenské společnosti RSM Zuzana Kubíková.

Zbytečná regulace nebo příležitost?

„Kolem dvou třetin společností, kteří k nám přijdou s žádostí o poradenství ohledně NIS2, nevnímá celou legislativu zpočátku jako nic víc než další zbytečnou regulaci a povinnosti. Rychle ale pochopí, že zčásti už mají splněno, a vidí pak NIS2 postupně spíše jako příležitost,“ dodává Zuzana Kubíková.

Podzimní akademie kyberbezpečnosti pro firmy

Díky implementaci národních předpisů, jako je předchozí Zákon o kybernetické bezpečnosti, má většina velkých podniků solidní základ pro plnění nových evropských standardů. Firmy v kritických sektorech, jako jsou energetika, finance nebo zdravotnictví, uplatňují bezpečnostní politiky a postupy, které odpovídají některým požadavkům NIS2 navíc dlouhodobě.

Podle Kubíkové ale není důvod sedět se založenýma rukama. Současný zákon o kyberbezpečnosti je totiž, co se týče požadavků NIS2, nedostatečný. Nově se navíc týká mnoha firem.

Podle odborníků z poradenské společnosti RSM jsou české podniky na příchod směrnice připraveny solidně. „Podle našich informací má z oněch 6 000 společností, kterých se NIS2 v roce 2025 týká, zhruba 70 % takřka beze zbytku své povinnosti splněné. Čekají je tak jen spíš formality,“ vysvětluje Kubíková.

„Velmi zbystřit by však měly společnosti, které spadají do takzvaného nižšího režimu povinností. Ten se týká firem, které do NIS2 budou spadat nově právě od příštího roku. Velkou část povinností sice budou mít stejné jako firmy ve vyšším režimu, odpadají jim ale takové záležitosti, jako je audit kybernetické bezpečnosti, řízení rizik a vyhodnocování kybernetických bezpečnostních událostí,“ dodává Kubíková.

Připravte se na GAP analýzu

Některé české firmy, na které se bude NIS2 vztahovat, mají zavedené systémy řízení bezpečnosti informací podle mezinárodních standardů, jako je ISO/IEC 27001, a pravidelně provádějí hodnocení rizik. To znamená, že již implementují technická a organizační opatření pro zajištění kybernetické bezpečnosti a mají zkušenosti s hlášením incidentů příslušným orgánům.

Podle RSM je však rozhodně na místě, aby čas do konce roku firmy využily pro GAP analýzu (analýza současného stavu a současných opatření). Ta pomůže firmám zjistit, jaké požadavky směrnice již splňují a v jakých oblastech musí ještě posílit své kybernetické bezpečnostní opatření. To zahrnuje například technické zabezpečení, procesy hlášení incidentů nebo řízení rizik v dodavatelském řetězci.

Na nové povinnosti v oblasti kyberbezpečnosti není podle průzkumu připravena drtivá většina firem

Dalším klíčovým aspektem je vzdělávání zaměstnanců. České firmy si uvědomují význam lidského faktoru v oblasti kybernetické bezpečnosti a investují do školení a zvyšování povědomí o kybernetických hrozbách. Díky těmto opatřením jsou lépe připraveny čelit novým výzvám a požadavkům, které směrnice NIS2 přináší.

„Opravdu vnímáme výrazně navýšený zájem o školení a vzdělání ze strany českých společností. Je vidět, že přípravu řada z nich nepodceňuje,“ potvrzuje Zuzana Kubíková.

Největší výzva? Brát kyberbezpečnost vážně

Největší výzva a zároveň příležitost pro české firmy leží ve zlepšení bezpečnosti a ochraně dat jejich klientů. Firmy musí zavést procesy pro hodnocení kybernetické bezpečnosti svých dodavatelů a obchodních partnerů, aktualizovat smlouvy o požadavky na bezpečnost a zajistit efektivní mechanismy pro sdílení informací o kybernetických hrozbách.

Protože je ale česká ekonomika ekonomikou vyspělou a vyváží především na Západ, lze očekávat, že jejich „skóre“ v hodnocení kyberbezpečnosti bude vysoké. Tím se jim ještě může zvednout reputace na evropském trhu.

S ohledem na skutečnost, že kyberútoky se stávají běžnou hrozbou pro všechny podniky, je implementace pokročilých technických opatření, jako jsou systémy pro detekci průniků, a nepřetržité monitorování bezpečnostních událostí klíčová pro ochranu před potenciálními útoky.

Od přijetí zákona mají firmy zhruba 60 dní na sebeidentifikaci a zjištění, zda a v jakém rozsahu se jich NIS2 týká, a následně rok na implementaci potřebných opatření

„Asi největší mezerou, kterou musí v tomto české firmy zacelit, je, aby braly kyberbezpečnost jednoduše vážně. Dobře nastavené procesy a vzdělání zaměstnanců je jedna věc, ale management musí brát tyhle věci vážně a nenastavit je jen ad hoc s představou, že na ‚to‘ stejně nikdy nedojde,“ dodává Kubíková. Ve výsledku tak půjde o téma pro celou firmu, nikoli jen pro IT oddělení.

Management by měl být aktivně zapojen do strategického plánování a rozhodovacích procesů týkajících se ochrany informačních systémů a dat. Je důležité, aby si vedení uvědomilo, že kybernetické hrozby mohou vážně ohrozit nejen velké korporace, ale i malé a střední podniky. To vyžaduje investice do školení a vzdělávání na všech úrovních společnosti, aby byla kybernetická bezpečnost vnímána jako společná odpovědnost všech zaměstnanců.

„Obecně platí, že od přijetí zákona mají firmy šedesát dní na sebeidentifikaci a reportování, zda a v jakém rozsahu se jich NIS2 týká, a následně rok na implementaci potřebných opatření. Čím dříve začnou, tím lépe pro ně,“ doplňuje zástupkyně RSM.

Redakčně upravená tisková zpráva RSM